monitor-group monitor1 enable
6. NAT / NAPT 設定
NAT/NAPT
とフィルタ機能の併用設定にて、使用するソフトウェアバージョンにより動作上の仕様差があります。以下をご確認ください。
ソフトウェアバージョン
7.5.11
まで、NAT/NAPT
と静的フィルタが併用できない制限があ りましたが、ソフトウェアバージョン8.0.3
からNAT/NAPT
と静的フィルタが併用できる ようになりました。この影響で、ソフトウェアバージョン
7.5.11
以前のプログラムファイルの動作に従った設 定内容で、ソフトウェアバージョン8.0.3
以降のプログラムファイルにバージョンアップ すると、通信ができなくなる場合がありますので注意してください。ソフトウェアバージョン7.5.11以前の動作仕様
NAT/NAPT
と静的フィルタが併用できません。NAT/NAPT
を使用したインタフェースにおいて、NAT/NAPT
が動作しキャッシュが生成された状態では、入力方向の静的パケットフィルタが働きません。
例えば、以下のような設定が該当します。
ip access-list FLT permit ip src 10.10.10.1/32 dest any
! interface GigaEthernet0.0 ip filter FLT 1 in
ip napt enable
!
この設定では
WAN
側の10.10.10.1/32
からのアクセスだけを許可したいのですが、LAN
側からWAN
側の通信によりNAPT
が動作すると、WAN
側からの折りかえり通信用の受信 側NAPT
キャッシュが生成され、受信側静的フィルタよりも優先されるようになります。このため、受信側の静的フィルタは無効になり、
10.10.10.1/32
以外からの通信をフィルタ できず、LAN
側からWAN
側にはアクセスリストによるIP
アドレスの制限がかかりませ ん。LAN
側から開始した宛先のIP
アドレスに対し、アクセスできてしまいます。ソフトウェアバージョン8.0.3以降の動作仕様
NAT/NAPT
と静的フィルタが併用できるようになりました。上記と同様な設定の場合、
LAN
側からWAN
側の通信によりNAPT
が動作しても、WAN
側 からの折りかえり通信用の受信側NAPT
キャッシュは、受信側静的フィルタに影響を与え ません。従いまして、設定通り、10.10.10.1/32
以外との通信はできません。注意すべき点
上記の例では、ソフトウェアバージョン
7.5.11
以前で意図せず10.10.10.1/32
以外との通対応例
コンフィグレーションを見直してください。
静的フィルタを残したまま、
NAPT
を利用して10.10.10.1/32
以外との通信を許可するた めには、送信側のダイナミックフィルタを個別に設定するようにしてください。ip access-list FLT permit ip src 10.10.10.1/32 dest any
ip access-list dynamic d-flt permit tcp src any sport any dest 172.16.1.1/32 dport any
! interface GigaEthernet0.0 ip filter FLT 1 in
ip filter d-flt 2 out ip napt enable
!
出力インタフェースでは、
NAT/NAPT
変換後にフィルタを評価します。このため、出力側 のOUT
フィルタでは、NAT/NAPT
変換前の送信元アドレスをフィルタ条件に設定できま せん。送信先アドレスを
OUT
フィルタ条件に設定してください。NAT/NAPT
変換前の送信元ア ドレスをフィルタ条件に設定したい場合には、LAN
側の受信インタフェースでIN
フィル タを使用するようにしてください。本仕様の動作となるパケットの評価フロー図については、取扱説明書の <付録>を確認く ださい。
6.1. スタティック NAT を使用する
スタティック
NAT
を使用して、プライベート空間に存在する端末からの通信をグローバル アドレスに固定的に変換する設定を説明します。本設定は、以下の環境を想定した設定例です。
・本装置のグローバルアドレスには
203.0.113.1
が設定されています。・端末
1
からの通信は203.0.113.2
に、端末2
からの通信は203.0.113.3
に変換されます■接続構成
■設定概要
以下の設定を行います。
・
GigaEthernet0.0
インタフェース設定・ スタティック
NAT
設定・
GigaEthernet1.0
インタフェース設定・ ルーティング設定
192.168.1.0/24
GE1.0
IPv4 ネットワーク 装置A
端末1
192.168.1.1 GE0.0
192.168.1.200
端末2 192.168.1.2
203.0.113.1 UNIVERGE
WA2610-AP
プライベート空間
203.0.113.0/24
ルータ
203.0.113.254
■設定(コンフィグ作成バージョン:
Ver8.0
)[
装置A:WA2610-AP
設定]
! hostname WA2610-AP
! interface GigaEthernet0.0 ip address 203.0.113.1/24 ip nat enable
ip nat static 192.168.1.1 203.0.113.2 priority 1 ip nat static 192.168.1.2 203.0.113.3 priority 2 no shutdown
! interface GigaEthernet1.0 ip address 192.168.1.200/24 no shutdown
! ip route default 203.0.113.254
■解説
interface GigaEthernet0.0 ip nat enable
インタフェース
GigaEthernet0.0
でNAT
機能を有効化します。ip nat static 192.168.1.1 203.0.113.2 priority 1 ip nat static 192.168.1.2 203.0.113.3 priority 2
配下端末のアドレスに対応した
1
対1
のNAT
変換設定を行います。本設定に従い、配 下端末からのパケットがNAT
変換されます。6.2. ダイナミック NAT を使用する
ダイナミック
NAT
を使用して、プライベート空間に存在する端末からの通信をグローバル アドレスに動的に変換する設定を説明します。本設定は、以下の環境を想定した設定例です。
・本装置のグローバルアドレスには
203.0.113.1
が設定されています。・プライベート空間
A
から外部へアクセスするときは、グローバルアドレス203.0.113.2
~203.0.113.15
を使用します。・プライベート空間
B
から外部へアクセスするときは、グローバルアドレス203.0.113.16
~
203.0.113.29
を使用します。■接続構成
■設定概要
以下の設定を行います。
・ アクセスリスト設定
・
GigaEthernet0.0
インタフェース設定・ ダイナミック
NAT
設定・
GigaEthernet1.0
インタフェース設定・
VLAN
インタフェース設定・ ルーティング設定
・
NAT
プール設定192.168.1.0/28
VLAN1
IPv4 ネットワーク 装置A
GE0.0
192.168.1.1 203.0.113.1
UNIVERGE WA2610-AP
プライベート空間A 203.0.113.0/24
ルータ
203.0.113.254 VLAN2
192.168.2.1 プライベート空間B
192.168.2.0/28
■設定(コンフィグ作成バージョン: